Navia: Datenleck betrifft 2,7 Millionen US-Beschäftigte

Ein massiver Hackerangriff auf den US-Leistungsverwalter Navia hat sensible Daten von Millionen Menschen erbeutet – ein Weckruf für die gesamte Branche.

Der US-Dienstleister Navia Benefit Solutions steht nach einer schweren Cyber-Attacke im Fokus von Ermittlern und Klagewellen. Unbefugte hatten wochenlang Zugang zu den Systemen des Unternehmens, das Sozialleistungen für über 10.000 Arbeitgeber verwaltet. Die gestohlenen Daten bergen ein enormes Risiko für Identitätsdiebstahl.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und neue Gesetze die Haftung verschärfen, erklärt dieser Experten-Report. Erfahren Sie, wie Sie Ihr Unternehmen mit einfachen, proaktiven Maßnahmen effektiv vor kostspieligen IT-Sicherheitsvorfällen schützen. Experten-Report: Strategien gegen Cyberkriminelle entdecken

Drei Wochen unentdeckter Zugriff

Der Angriff war kein kurzer Einbruch, sondern ein langer, unentdeckter Spähangriff. Nach internen Untersuchungen drangen die Hacker bereits am 22. Dezember 2025 in die Systeme ein und konnten sich bis zum 15. Januar 2026 darin bewegen. Entdeckt wurde die Aktivität erst eine Woche später, am 23. Januar. Diese zeitliche Lücke zwischen Eindringen und Entdeckung ist nun ein zentraler Kritikpunkt von Aufsichtsbehörden.

Während des Zugriffs erbeuteten die Angreifer offenbar eine breite Palette sensibler Dateien. Navia gab zwar an, dass keine konkreten Krankendaten oder Bankverbindungen gestohlen wurden. Die Kombination der erlangten Informationen ist für Kriminelle jedoch äußerst wertvoll.

Was genau gestohlen wurde

Das Ausmaß des Datendiebstahls ist alarmierend. Laut einer Meldung bei der Staatsanwaltschaft in Maine sind 2.697.540 Personen betroffen. Gestohlen wurden:
* Persönliche Identifikationsdaten: Vollständige Namen, Geburtsdaten, US-Sozialversicherungsnummern, Telefonnummern und E-Mail-Adressen.
* Leistungsbezogene Informationen: Details zur Teilnahme an betrieblichen Gesundheitskonten (HRAs), flexiblen Ausgabekonten (FSAs) und zum COBRA-Krankenversicherungsschutz.

Besonders brisant: Einige der kompromittierten Datensätze stammen aus dem Jahr 2018. Betroffen sind somit nicht nur aktuelle, sondern auch ehemalige Mitarbeiter der Navia-Kunden sowie deren Familienangehörige. Die Kombination aus Sozialversicherungsnummer und Informationen zur Krankenversicherung bietet Angreifern ideale Voraussetzungen für gezielten Betrug.

Klagewellen und behördliches Echo

Die Dimension des Falls hat sofort rechtliche und behördliche Reaktionen ausgelöst. In Washington bestätigte die Gesundheitsbehörde, dass etwa 35.600 öffentliche Angestellte und Rentner betroffen sind – inklusive 37 Schulbezirke und der Daten von Kindern.

Gleichzeitig haben renommierte Kanzleien wie die Murphy Law Firm und Edelson Lechtzin LLP Sammelklagen vorbereitet. Sie prüfen, ob Navia angemessene Cybersicherheitsmaßnahmen zum Schutz der hochsensiblen Daten ergriffen hatte. Die Kläger argumentieren, dass ein Verwalter wie Navia eine treuhänderische Pflicht habe, solche Informationen zu schützen. Der Verlust deute auf ein Versagen bei der Implementierung branchenüblicher Sicherheitsstandards hin.

Vorfälle wie bei Navia zeigen, wie wichtig eine lückenlose Dokumentation nach Art. 30 DSGVO ist, um im Ernstfall gegenüber Aufsichtsbehörden rechtssicher aufgestellt zu sein. Nutzen Sie diese kostenlose Excel-Vorlage inklusive Anleitung, um Ihr Verarbeitungsverzeichnis zeitsparend zu erstellen und Bußgelder zu vermeiden. Kostenlose Excel-Vorlage für Ihr Verarbeitungsverzeichnis sichern

Navias Reaktion und Schutzangebote

Als Reaktion auf den Vorfall hat Navia mit der Benachrichtigung der Betroffenen begonnen. Seit dem 18. März gehen Briefe mit Details zum Datenverlust raus. Das Unternehmen bietet den Opfern zwölf Monate kostenlose Kreditüberwachung und Identitätsschutz-Dienste über den Anbieter Kroll an.

Intern will Navia seine Sicherheitsvorkehrungen und Datenaufbewahrungsrichtlinien überprüft haben. Auch Schulungen für Mitarbeiter seien verstärkt worden. Doch der Vertrauensverlust bei den 10.000 Kundenunternehmen dürfte schwer wiegen.

Systemrisiko Drittanbieter

Der Angriff auf Navia unterstreicht ein wachsendes Problem: Drittanbieter im Gesundheits- und Finanzsektor werden immer häufiger zur Zielscheibe. Als Verwaltungsstelle sitzen sie an der Schnittstelle zweier hochsensibler Bereiche und verwalten Daten von Tausenden Firmen auf einmal. Ein erfolgreicher Angriff auf einen solchen Administrator öffnet die Schatztruhe für Millionen Datensätze.

Experten ziehen Parallelen zum Leak bei HealthEquity 2024, der über vier Millionen Menschen betraf. Solche Vorfälle zeigen das systemische Risiko auf: Die Daten der Mitarbeiter sind nur so sicher wie das schwächste Glied in der Kette der Dienstleister. Personalabteilungen weltweit dürften nun ihre Verträge mit externen Administratoren und deren Sicherheitszertifizierungen noch kritischer prüfen.

Was kommt auf Navia zu?

Für Navia zeichnen sich langwierige rechtliche Auseinandersetzungen ab. Die verschiedenen Sammelklagen könnten in einem zentralen Verfahren gebündelt werden. Angesichts der Millionen gestohlener Sozialversicherungsnummern rechnen Rechtsexperten mit einem Vergleich in zweistelliger Millionenhöhe.

Zudem könnte der Vorfall, an dem auch staatliche Stellen beteiligt sind, als Katalysator für schärfere Datenschutzgesetze speziell für Leistungsverwalter dienen. Für die 2,7 Millionen Betroffenen bleibt die Datenpanne eine langfristige Bedrohung: Gestohlene Identitätsdaten behalten ihren Wert im Darknet über Jahre.

boerse | 68971426 |